ページの先頭です。
コンテンツエリアはここからです。

ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette(シルエット)」について

我々の研究グループは、ソーシャルウェブサービス(SWS)に対する新たなプライバシー脅威「Silhouette(シルエット)」を発見しました。本脅威は、SWSのユーザが悪意のある第三者のウェブサイトに訪問した際に、当該ユーザが所有するSWSのアカウント名が第三者のウェブサイトから特定されうるというものです。SWSのアカウントにはユーザの実名や顔写真、位置情報、日々の投稿といった情報が含まれているため、意図しない第三者に特定されることで重大なプライバシー情報が露見してしまうこととなり、さらにソーシャルエンジニアリングや脅迫といった攻撃に発展する可能性があります。例えば、検索エンジンの結果や、一般的なウェブサイトに含まれる広告、メールに含まれるリンクなどを経由して、本来SWSと全く関係のない悪意のあるウェブサイトへアクセスしてしまった際に、その悪意のあるサイトはユーザが利用しているであろうSWSへの通信をユーザにはわからないよう秘密裏に行い、ユーザのSWSのアカウント名を特定してしまいます。
本脅威は、SWSの「ユーザブロック機能」を、クロスサイトリクエストフォージェリと、タイミング情報を使ったサイドチャネル攻撃を用いて悪用することで成立します。我々は本脅威の影響を受ける世界的サービスおよびブラウザベンダと連携を図り、対策導入を促すことでセキュリティ機構の改善に努めて参りました。攻撃が成立してしまう原理と対策手法の詳細、および対策実現に向けた取り組みにつきましては、ダウンロード資料をご参照ください。

クロスサイトリクエストフォージェリによるタイミング情報の計測クロスサイトリクエストフォージェリによるタイミング情報の計測

ダウンロード用資料

関連論文

  • T. Watanabe, E. Shioji, M. Akiyama, K. Sasaoka, T. Yagi, and T. Mori: "User Blocking Considered Harmful? An Attacker-controllable Side Channel to Identify Social Accounts," Proceedings of the 3rd IEEE European Symposium on Security and Privacy (Euro S&P 2018), April 2018
  • 渡邉卓弥,塩治榮太朗,秋山満昭,笹岡京斗,八木毅,森達哉: "ユーザブロック機能の光と陰: ソーシャルアカウントを特定するサイドチャネルの構成," コンピュータセキュリティシンポジウム2017論文集,2017年10月

関連情報

フッタエリアはここからです。